Como o Credential Guard funciona

O Kerberos, o NTLM e o Gestor de Credenciais isolam segredos através da segurança baseada em Virtualização (VBS). As versões anteriores do Windows armazenavam segredos na respetiva memória de processo, no processo lsass.exeda Autoridade de Segurança Local (LSA).

Limites de proteção do Credential Guard

Algumas formas de armazenar credenciais não estão protegidas pelo Credential Guard, incluindo:

• Quando o Credential Guard está ativado, NTLMv1, MS-CHAPv2, Digest e CredSSP não podem utilizar as credenciais com sessão iniciada. Assim, o início de sessão único não funciona com estes protocolos. No entanto, as aplicações podem pedir credenciais ou utilizar credenciais armazenadas no Cofre do Windows, que não estão protegidas pelo Credential Guard com nenhum destes protocolos

  Cuidado

  Recomenda-se que as credenciais valiosas, como as credenciais de início de sessão, não sejam utilizadas com protocolos NTLMv1, MS-CHAPv2, Digest ou CredSSP.

• O software que gerencia credenciais fora da proteção de recursos do Windows
• Contas locais e contas da Microsoft
• O Credential Guard não protege a base de dados do Active Directory em execução nos controladores de domínio do Windows Server. Também não protege pipelines de entrada de credenciais, como o Windows Server a executar o Gateway de Ambiente de Trabalho Remoto. Se estiver a utilizar um SO Windows Server como um PC cliente, obterá a mesma proteção que obteria ao executar um SO cliente Windows
• Keyloggers
• Ataques físicos
• Não impede que um atacante com software maligno no PC utilize os privilégios associados a qualquer credencial. Recomendamos a utilização de PCs dedicados para contas de valor elevado, como Profissionais de TI e utilizadores com acesso a ativos de valor elevado na sua organização
• Pacotes de segurança não Microsoft
• As credenciais fornecidas para a autenticação NTLM não estão protegidas. Se um usuário é solicitado a fornecer e insere credenciais para autenticação NTLM, essas credenciais estarão vulneráveis a serem lidas a partir da memória LSASS. Estas mesmas credenciais também são vulneráveis a registos de chaves
• As permissões de serviço Kerberos não estão protegidas pelo Credential Guard, mas a Permissão de Concessão de Permissões Kerberos (TGT) está protegida
• Quando o Credential Guard está ativado, o Kerberos não permite a delegação kerberos não preparada ou a encriptação DES, não só para credenciais com sessão iniciada, mas também credenciais pedidas ou guardadas
• Quando o Credential Guard está ativado numa VM, protege segredos de ataques dentro da VM. No entanto, não fornece proteção contra ataques de sistema privilegiados provenientes do anfitrião
• Os verificadores de palavras-passe em cache de início de sessão do Windows (normalmente denominados credenciais em cache) não se qualificam como credenciais porque não podem ser apresentados a outro computador para autenticação e só podem ser utilizados localmente para verificar as credenciais. São armazenados no registo no computador local e fornecem validação para credenciais quando um computador associado a um domínio não consegue ligar ao AD DS durante o início de sessão do utilizador. Estes inícios de sessão em cache, ou mais especificamente, as informações da conta de domínio em cache, podem ser geridos com a definição de política de segurança Início de sessão interativo: Número de inícios de sessão anteriores a colocar em cache se um controlador de domínio não estiver disponível

Próximas etapas

• Saiba como configurar o Credential Guard
• Reveja os conselhos e o código de exemplo para tornar o seu ambiente mais seguro e robusto com o Credential Guard no artigo Mitigações adicionais
• Rever considerações e problemas conhecidos ao utilizar o Credential Guard